Vraag

L2TP VPN (Windows Server 2016) werkt niet door ExperiaBox i.c.m. portformwarding

  • 29 november 2017
  • 4 reacties
  • 687 keer bekeken

Zowel manual portforwarding (UDP500, UDP4500) als via predefined settings in VPN forwarding -> L2TP en/of IPSEC werken niet. Overige port forwarding werkt wel zoals HTTPS en diverse manual poorten.
Intern werkt VPN wel naar de betreffende Windows Server toe dus daar ligt het niet aan.

Ik vermoed dat de poorten 4500 en 500 geblokkeerd worden door een het modem.
Eveneens het gebruik van DMZ werkt niet.

Momenteel gebruik ik noodgedwongen SSTP VPN welke over 443 loopt.

Door de webcare ben ik doorverwezen naar het uber beste forum, volgens hen, dus ben benieuwd.

4 reacties

Reputatie 7
Badge +30
Nee ze worden niet geblokt, dit heeft te maken met de client die je gebruikt en het reageren op pings. De precieze details weet ik zo niet
@RobinFlikkema Zowel Windows 10, Windows 7 en iOS clients hebben dus schijnbaar dit issue? bij de vorige internet provider was dit probleem niet in dezelfde setup. Ping verhaal kan kloppen maar hoe pas ik dat dus aan.
Reputatie 7
Badge +30
De meeste clients willen het WAN IP pingen om de tunnel op te zetten
De Experiabox reageert niet op pings vanaf WAN. Als je DMZ gebruikt worden die echo-requests doorgezet naar het apparaat er achter maar Windows Server beantwoord standaard die pings niet.

Je zal dus pings moeten doorzetten & accepteren, of een andere client gebruiken, of een andere server. Ik heb met de V10 een SoftEther L2TP/IPSec Site2Site VPN gehad die zonder problemen werkte. Die had wel NAT-T nodig maar dat heb je volgensmij altijd in zo'n geval.

Robin
Reputatie 7
De meeste clients willen het WAN IP pingen om de tunnel op te zetten
De Experiabox reageert niet op pings vanaf WAN...
Die ping naar het WAN IP adres vindt binnen de VPN tunnel plaats en is de laatste stap in het verifiëren van de VPN tunnel. De ping komt dus niet vanaf het Internet, maar vanaf de VPN server, in dit geval dus de Windows 2016 server.
Nu is de vraag of ingesteld is dat binnen de VPN tunnel terug gerouteerd mag worden naar Internet of dat alleen het LAN achter de VPN tunnel benaderd mag worden.
Zelf heb ik een Cisco RV180W VPN Security Gateway als DMZ Host achter onze Experia Box staan t.b.v. mijn zakelijke netwerk. Ik gebruik kale IPSec VPN verbindingen om van buitenaf VPN verbindingen op te zetten. Deze Cisco blokkeert sowieso de route terug naar Internet en daardoor mislukt de ping van het WAN IP adres. Ik gebruik daarom de VPN cliënt van NCP aangezien deze ingesteld kan worden om die ping validatie te skippen.
De VPN cliënt van Shrewsoft doet dat ook. Helaas zijn beide VPN cliënts niet geschikt voor L2TP/IPSec.
Overigens kan ik van buitenaf probleemloos L2TP/IPSec verbindingen opzetten met de VPN Server op mijn Synology NAS. Deze staat het wel toe om naar Internet terug te routeren en kan dus het WAN IP adres binnen de VPN tunnel pingen.

Welke Experia Box heb je eigenlijk?
Ik neem trouwens aan dat we het hebben over inkomende VPN verbindingen. De VPN server staat dus thuis en de VPN cliënt benadert jouw thuis netwerk vanaf het Internet. Klopt dat?

Reageer